グーグルの社内バグトラッカーの深刻な問題を研究者が指摘

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部 2017年10月31日 13時27分

  • このエントリーをはてなブックマークに追加

 Google社内の脆弱性追跡システムにおける一連の問題により、セキュリティ研究者がGoogleの重要かつ危険な脆弱性の情報にアクセスできる状態になっていたという。

 Googleが社内で利用している脆弱性などの報告システム「Issue Tracker」(Google社内では「Buganizer」と呼ばれている)は、セキュリティ研究者やバグ発見者が、Googleのソフトウェアやサービス、製品で見つかった問題やセキュリティ上の脆弱性情報を提出できるシステムだ。

 普通のユーザーがバグ追跡システムにアクセスすることは少ない。だがセキュリティ研究者のAlex Birsan氏は、Googleの社内メールアドレスをスプーフィングし、システムのバックエンドと多数のバグレポートにアクセスできることを発見した。バグレポートの中には、最も深刻度が高く危険な脆弱性である「優先順位ゼロ」と分類されているものもあった。ハッカーに悪用された場合、計り知れない被害が及びかねない。

 この脆弱性を発見したBirsan氏は米ZDNetに対し、「攻撃者が提出された脆弱性を見つけて悪用し、Googleのアカウントを狙って危険にさらすことも可能だったはずだ」と述べた。

 Birsan氏は自身のブログで、作成したGmailアカウントが、メールで認証する前に、任意の電子メールアドレス(Googleの企業アカウントを含む)に変更できるようになっていたと報告している。Birsan氏が作成した偽のGoogleアカウントで、同社のネットワークに直接アクセスすることはできない。だが、Issue TrackerにBirsan氏がGoogle社員だと認識させることは可能であり、同氏の権限を昇格させてバグレポートの参照や、問題についての通知やアップデートを受け取ることが可能になっていたという。また、各レポートに対するログインユーザーのアクセス権を適切に認証していないことによる問題についても指摘している。

 Birsan氏がバグを報告した後、1時間で同氏のアクセスは無効化され、脆弱性は修正された。非常に多数のアカウントを危険にさらす大規模な攻撃が実現する可能性は低いという。

 Birsan氏が発見した3つのバグについて、Googleはバグ発見を奨励するプログラムの下で1万5600ドルを支払っている。また、Issue Trackerの脆弱性について継続して調べることに対し、3133ドルの報奨金も付与された。Googleの担当者は、「Alex(Birsan氏)のバグ報告に感謝している。彼が報告した脆弱性については、関連する変種も含め、すでにパッチを当ててている」とコメントしている。

脆弱性
提供:file photo

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]